以电子商务为重点的互联网经济正在受到网络安全的严重挑战。
由于互联网的普及,以及电子商务的高速发展,用户的消费习惯渐渐从线下转移到线上,网络购物、网上支付等已经成为很多网友生活中不可或缺的部分。
伴随而来的网络安全等问题也日益凸显,在2012年3·15投诉量排行榜中网络购物投诉最多。一系列钓鱼网站、网购木马、手机病毒等泛滥,网络信息安全问题成为互联网的重灾区。
网络身份安全角势严峻
互联网在中国的发展,已成爆发之势,网站和网民数量都呈现几何数增长。其它应用如电子商务方面也异军突起,仅支付宝在今年“光棍节”一天交易额就达到191亿元。
但与此同时,网络空间的安全角势也日益严峻。一方面,伴随着电子商务的快速发展,仿冒金融机构、大型购物网站的网络钓鱼猛增;另一方面,网站被挂马、被篡改和被入侵等事件频繁发生。有数据显示,截至2012年11月中国反钓鱼网站联盟认定的钓鱼网站达到2.4万多个,我国商业类、政府类网站被挂马和被篡改数量也非常多。这些违法犯罪活动造成的损失也非常严重。
公开数据显示,过去一年,网络犯罪使全球个人用户蒙受直接经济损失1100亿美元,在中国过去一年中,估计网络犯罪的受害人数超过2.57亿人,直接经济损失2890亿元。
据奇虎360副总裁石晓虹透露,根据360安全中心发布的《2012上半年中国互联网安全报告》显示,2012年上半年,360安全中心共截获新增钓鱼网站350149家,已经达到去年全年截获新增钓鱼网站总量的75%,拦截钓鱼网站访问量更是高达21.7亿次,比去年全年拦截量还高2000万。从2012年各月的统计数据看,钓鱼网站已经超过挂马网站,其中身份欺诈是钓鱼网站最突出的特征。
网络犯罪的招数也在不断升级。
国务院发展研究中心国际技术经济研究院陈宝国博士指出,由于跨境黑客攻击和新产品、新技术、新应用的出现,我国信息安全正面临着新的挑战和威胁。
他认为,在当前阶段互联网的威胁特征主要有四个:一、钓鱼网站取代木马,成为主要手段。钓鱼网站仿造银行网站、搜索网站等获取用户关注,从而获取用户信息;二、网购木马呈现增长趋势。随着电子商务数量的增长,网购木马也增多,有的木马甚至会仿造网上银行的安全控件的形式要求用户安装从而盗取用户银行账户的资金;三、电脑病毒制造者向智能手机安卓系统平台转移。安卓平台是开放的平台,安卓手机用户可以在网络上任意下载,也由于手机存在大量用户隐私信息,更容易成为病毒制造者的目标;四、社会化媒体成为诈骗传播新宠。社交媒体如SNS网站等由于是真实身份交友网站,方便网络诈骗者向熟人开刀。
网络信息安全难以治理
有业内人士认为,网络信息安全问题是互联网时代的一块顽疾,也是影响互联网经济进一步发展的重要障碍。在治理上出现的新挑战不断涌现,行政监管难、法律体系不完备等硬伤非常明显。而且在以智能手机为代表的智能终端更加普及、我国互联网经济短期大发展的背景下,网络信息安全角势更加严峻。
随着移动3G网络的发展和普及,平板手机和平板电脑技术的不断改善,网络终端开始由单一的PC终端向手机终端和平板终端转移。用户可以随时随地上网,这种趋势不仅拓展了用户使用网络的空间,还增加了用户使用网络的时间。
在陈宝国看来,智能终端的发展也伴随着一系列问题的产生,比如移动电话窃听、移动应用携带恶意广告等。网络安全问题不仅仅存在于电脑,也延伸到手机方面。
据统计,我国网站数量超过250万个,网民数量已经达到5.38亿。除了数量庞大,还因为互联网的树状信息传播模式,海量的信息在网络上任意传播,互联网领域也涉及到金融、海关、能源等方面,行政监管无法深入到网络的每个角落,也无法做到有效遏制计算机病毒、网络攻击、垃圾邮件、系统漏洞、网络窃密、虚假有害信息和网络违法犯罪等问题。
中国电子商务调解中心主任梅敏认为,我国的互联网发展只有几十年的历史,新兴犯罪技巧和犯罪方法不断涌现,在治理互联网犯罪方面法律还存在着较大空白。当用户权利受到侵害时,由于网上交易的虚拟性,没有实质性的证据和证人,给公安机关的立案和司法机关的审判都带来了很大的难度。用户权利虽然受到侵害,苦于没有清晰的法律界定和充足的证据,也只能不了了之。
维护网络安全要多措并举
为了有效杜绝一些网络欺诈问题,12月20日,中国电子认证服务产业联盟工作年会暨网站可信任服务试点启动。工信部信息安全协调司副司长欧阳武表示,组织认证产业联盟,着手网站可信验证准备,旨在打造统一权威的网站可信标识,通过必要的技术手段防止网站可信标识的冒用。
网站认证是指第三方权威机构如CA机构对互联网网站进行的网站身份及相关信息认证。根据认证内容及认证方式的不同,网站认证分为官网认证、安全认证、资质认证、行业认证等等,认证目标为向最终用户展示网站经过权威机构认证,具有相应认证资质,以提高用户对网站的信用感。
据工业和信息化部信息安全协调司副司长欧阳武介绍,目前已经有多家机构开展了可信网站、诚信网站等认证活动,覆盖了全国约13%的网站。但是总体来讲,网站可信认证服务市场还比较混乱,认证方法没有统一的标准和规范,有些认证服务无法保证其认证结果的可靠性,如郭美美的红十字会的身份,网民面对各式各样的认证标识无所适从。因此,需要有国家权威部门站出来,统一组织协调网络可信认证相关工作。
不过,一些业内人士强调,实行网站权威认证仅是一个措施,正像产品质量认证一样,有认证,并不能解决市场上的假冒伪劣,还需要法律的完备、监管的科学到位及处罚力度的加大等等。对于网络安全也一样,国家和相关部门必须制定和完善相应法律法规,采取更加严厉的措施打击网络违法犯罪行为,这样才能更好地保护我国网民的信息和我国互联网经济的发展。
❷ 3G无线上网安全性
这是很安全的,蹭网大部分是蹭无线路由器的网络,3G的网络不一样。
❸ 5G安全还是3G安全,注意你的脑袋
资料显示,与3G和4G时代相比,5G网络AKA已有较大改进,能解决之前3G和4G网络的IMSI信息盗采问题。但5G网络AKA对通信环境安全的设定并未达到最高安全级别,依旧存在一些潜在漏洞。
利用那些漏洞,黑客或能开发出可拦截5G信号的捕集器。“这个捕集器和假基站很像,能偷听用户手机,还能通过漏洞拦截移动设备的流量元数据,对用户进行定位。不过,这些漏洞虽然存在,但不会像以前那样损害用户的完整身份信息。”王晓飞说。
超强“特技”是把双刃剑
5G大幕即将拉开,但在王晓飞看来,5G在技术和通信协议方面还存在提升的空间。“5G离大规模正式铺设还差很多,不少国家比如韩国,推出的5G还不能被称为‘真正的、全面的5G’。”他说。
“5G时代,安全将变得尤为关键。5G为移动设备带来超强的带宽、超低延迟以及海量的链接,也就为自动驾驶、虚拟现实、工业物联网等技术创新打开了大门,所以需要更高级别的安全保障。”王晓飞说。
在王晓飞看来,5G这些超强带宽、超低延迟“特技”,是把双刃剑。“我们越依靠网络,网络安全问题对我们的威胁也就越大。因为汽车、医院、工厂以及整个城市都将依赖5G网络进行指挥,容不得半点疏忽和失误。”他说。
运营商是安全“守门员”
一方面,公众对5G的期待颇高;另一方面,大家又担忧信息安全问题……不过,在王晓飞眼里,用户不必对漏洞太过担心。
“5G网络在定义和规范建立过程中,安全性被作为一个关键的考虑要素和核心问题。”王晓飞说,在防范IMSI捕集器方面,5G协议也引入了用户永久标识符和用户隐藏标识符概念。更重要的是,5G在规范中引入了基于公钥基础设施的安全体系结构。
此外,王晓飞还告诉科技日报记者,我国的5G推广工作不会像韩国那么“着急”,而且以华为为首的国内企业在5G领域拥有话语权,所以可以花更多一些时间,在测试、试点的基础上稳步推进5G。
“安全性问题固然重要,但这更多的该是运营商要考虑的问题。”王晓飞说,网络采取什么样的方式进行认证,更多取决于运营商的策略,而不是标准化强制要求过程。“如果运营商对安全认证规范要求不高,就可能一直存在潜在漏洞,他们是安全‘守门员’。”
❹ 第三代移动通信(3G)的安全性分析
网络文库就有的啦
你可以去看下哦
或者网络一下你就知道啦
c)如果用户通过UTRAN接入,控制接入的3G VLR/SGSN同2G用户之间进行GSM的鉴权过程后,在SIM卡上存储了密钥Kc。VLR/SGSN和用户终端设备同时通过Kc计算出UMTS的CK和IK,然后3G VLR/SGSN将利用CK和IK为用户提供安全保护,但由于此时用户安全特性的核心仍是GSM密钥Kc,所以用户并不具备3G的安全特性。
d)当用户通过2G接入网接入时,控制的VLR/SGSN(2G或3G)直接执行GSM鉴权过程,建立GSM安全上下文。
注意:为了支持2G鉴权和3G鉴权的兼容性,3G HLR必须支持3G鉴权5元组向2G鉴权3元组的转换功能;3G MSC必须支持3G鉴权5元组和2G鉴权3元组之间的双向转换功能。
4、移动通信安全的进一步完善
随着通信技术的不断发展,移动通信系统在各个行业得到广泛应用,因此对通信安全也提出了更高的要求。未来的移动通信系统安全需要进一步的加强和完善。
4.1 3G的安全体系结构趋于透明化
目前的安全体系仍然建立在假定内部网络绝对安全的前提下,但随着通信网络的不断发展,终端在不同运营商,甚至异种网络之间的漫游也成为可能,因此应增加核心网之间的安全认证机制。特别是随着移动电子商务的广泛应用,更应尽量减少或避免网络内部人员的干预性。未来的安全中心应能独立于系统设备,具有开放的接口,能独立地完成双向鉴权、端到端数据加密等安全功能,甚至对网络内部人员也是透明的。
4.2 考虑采用公钥密码体制
在未来的3G网络中要求网络更具有可扩展性,安全特性更加具有可见性、可操作性的趋势下,采用公钥密码体制,参与交换的是公开密钥,因而增加了私钥的安全性,并能同时满足数字加密和数字签名的需要,满足电子商务所要求的身份鉴别和数据的机密性、完整性、不可否认性。因此,必须尽快建设无线公钥基础设施(WPKI),建设以认证中心(CA)为核心的安全认证体系。
4.3 考虑新密码技术的应用
随着密码学的发展以及移动终端处理能力的提高,新的密码技术,如量子密码技术、椭圆曲线密码技术、生物识别技术等已在移动通信系统中获得广泛应用,加密算法和认证算法自身的抗攻击能力更强健,从而保证传输信息的机密性、完整性、可用性、可控性和不可否认性。
4.4 使用多层次、多技术的安全保护机制
为了保证移动通信系统的安全,不能仅依靠网络的接入和核心网内部的安全,而应该使用多层次、多技术相结合的保护机制,即在应用层、网络层、传输层和物理层上进行全方位的数据保护,并结合多种安全协议,从而保证信息的安全。
今后相当长一段时期内,移动通信系统都会出现2G和3G两种网络共存的局面,移动通信系统的安全也面临着后向兼容的问题。因此,如何进一步完善移动通信系统的安全,提高安全机制的效率以及对安全机制进行有效的管理,都是今后亟需解决的问题。
USIM中的鉴权处理原理
首先计算AK,并从AUTN中将序列号恢复出来,SQN=(SQN①AK)①AK;USIM计算出XMAC,将它与AUTN中的MAC值进行比较。如果不同,用户发送一个“用户认证拒绝”信息给VLR/SGSN,放弃该鉴权过程。在这种情况下,VLR/SGSN向HLR发起一个“鉴权失败报告”过程,然后由VLR/SGSN决定是否重新向用户发起一个鉴权认证过程。
同时,用户还要验证接收到的序列号SQN是否在有效的范围内,若不在,MS向VLR发送同步失败消息,并放弃该过程。
如果XMAC和SQN的验证都通过,那么USIM计算出RES,发送给VLR/SGSN,比较RES是否等于XRES,如果相等,网络就认证了用户的身份。
最后,用户计算出CK和IK。
2.2 UMTS的加密机制
在上述双向鉴权过程中产生的CK,在核心网和用户终端间共享。CK在RANAP消息“安全模式命令”中传输,RNC获得CK后就可以通过向终端发送RRC安全模式命令,并开始进行加密。
UMTS的加密机制是利用加密算法f8生成密钥流(伪随机的掩码数据),明文数据再和掩码数据进行逐比特相加产生密文,然后以密文的方式在无线链路上传输用户数据和信令信元,接收方在收到密文后,再把密文和掩码数据(同加密时输入参数一样,因此产生的掩码数据也一样)逐比特相加,还原成明文数据,即解密。
2.3 UMTS的完整性保护机制
为防止侵入者假造消息或篡改用户和网络间的信令消息,可以使用UMTS的完整性保护机制来保护信令的完整性。完整性保护在无线资源控制(RRC)子层执行,同加密一样,在RNC和终端之间使用。IK在鉴权和密钥协商过程中产生,IK也和CK一起以安全模式命令传输到RNC。
UMTS的完整性保护机制是发送方(UE或RNC)将要传送的数据用IK经过f9算法产生的消息鉴权码MAC附加在发出的消息后。接收方(RNC或UE)收到消息后,用同样的方法计算得到XMAC。接收方把收到的MAC和XMAC相比较,如果两者相等,说明收到的消息是完整的,在传输过程中没有被修改。
3、2G/3G网络共存时的漫游用户鉴权
2G与3G网络共存是目前移动通信向3G过渡必然要经历的阶段。由于用户通过SIM卡或USIM使用双模式手机可同时接入到2G和3G网络,当用户在2G和3G共存的网络中漫游时,网络必须为用户提供必要的安全服务。由于2G和3G系统用户安全机制之间的继承性,所以可以通过2G和3G网络实体间的交互以及2G和3G安全上下文之间的转换运算来实现不同接入情况下用户的鉴权。
3.1 UMTS漫游用户的鉴权
在2G和3G共存网络中,UMTS漫游用户鉴权按以下方式进行:
a)通过UTRAN接入时,使用3G鉴权。
b)当使用3G移动台和3G MSC/VLR或SGSN通过GSM BSS接入时,使用3G鉴权机制。其中GSM密钥从UMTS CK和IK计算获得。
c)当使用2G移动台或2G MSC/VLR或SGSN通过GSM BSS接入时,使用GSM鉴权机制。其中用户响应SRES和GSM密钥从UMTS SRES、CK和IK得到。
UMTS漫游用户的鉴权过程包括以下几个步骤(见图4):
图4 漫游UMTS用户在2G/3G网络中的鉴权
a)当HLR/AuC收到VLR/SGSN的鉴权数据请求消息时,将根据用户钥匙K生成一组3G鉴权矢量,包扩RAND、XRES、AUTN、CK和IK。
b)鉴权矢量的分发会根据请求鉴权数据的VLR/SGSN的类型而不同。如果请求鉴权数据的是3G VLR/SGSN,将直接接收HLR/AuC的3G鉴权矢量,并将它存储起来;而当请求鉴权的是2G VLR/SGSN时,HLR/AuC会将3G鉴权矢量转化为GSM鉴权三元组,2G VLR/SGSN将这组鉴权三元组存储起来。
c)当UMTS通过UTRN接入时,VLR/SGSN直接进行3G鉴权,为用户建立3G安全上下文。
d)当UMTS用户通过2G接入网接入时,根据控制鉴权的VLR/SGSN类型和用户设备类型的不同,使用的鉴权矢量可以是3G鉴权矢量,也可以是GSM鉴权三元组。当控制接入的是3G VLR/SGSN时,如果用户使用的是3G用户设备,VLR/SGSN和用户之间执行3G鉴权过程,双方协议CK和IK作为3G安全上下文,并存储在USIM中,然后用户设备和VLR/SGSN同时计算出Kc,并用它在以后的信令过程中对空中数据进行保护。如果此时用户设备是2G,VLR/SGSN取出UMTS鉴权矢量对用户鉴权时,先通过前述算法计算出GSM鉴权三元组,然后将RAND发送到USIM,USIM通过3G鉴权算法得到与鉴权矢量中相同的XRES、CK和IK,计算出2G的SRES和Kc,再将SRES发回到VLR/SGSN进行比较后,将Kc用作空中数据的加密。如果控制接入的是2G VLR/SGSN,则VLR/SGSN取出一个存储的GSM鉴权三元组,将其中的RAND发送到用户,USIM通过3G鉴权算法得到XRES、CK和IK,再同样计算出2G的SRES和Kc,在对SRES进行比较后,密钥Kc协商成功。
3.2 GSM SIM漫游用户的鉴权
GSM SIM漫游用户的鉴权流程如图5所示。
图5 GSM SIM漫游用户的鉴权流程
由于GSM SIM用户只支持GSM系统安全特性,所以鉴权过程必然是GSM系统的。具体步骤如下:
a)当VLR/SGSN向用户归属2G HLR/AuC请求鉴权数据时,HLR/AuC生成一组GSM鉴权三元组。
b)HLR/AuC向请求鉴权数据的VLR/SGSN分发鉴权三元组,不管VLR/SGSN是2G还是3G类型的,VLR/SGSN会将这组鉴权三元组存储起来,然后取出一个鉴权三元组对用户进行鉴权。
c)如果用户通过UTRAN接入,控制接入的3G VLR/SGSN同2G用户之间进行GSM的鉴权过程后,在SIM卡上存储了密钥Kc。VLR/SGSN和用户终端设备同时通过Kc计算出UMTS的CK和IK,然后3G VLR/SGSN将利用CK和IK为用户提供安全保护,但由于此时用户安全特性的核心仍是GSM密钥Kc,所以用户并不具备3G的安全特性。
d)当用户通过2G接入网接入时,控制的VLR/SGSN(2G或3G)直接执行GSM鉴权过程,建立GSM安全上下文。
注意:为了支持2G鉴权和3G鉴权的兼容性,3G HLR必须支持3G鉴权5元组向2G鉴权3元组的转换功能;3G MSC必须支持3G鉴权5元组和2G鉴权3元组之间的双向转换功能。
4、移动通信安全的进一步完善
随着通信技术的不断发展,移动通信系统在各个行业得到广泛应用,因此对通信安全也提出了更高的要求。未来的移动通信系统安全需要进一步的加强和完善。
4.1 3G的安全体系结构趋于透明化
目前的安全体系仍然建立在假定内部网络绝对安全的前提下,但随着通信网络的不断发展,终端在不同运营商,甚至异种网络之间的漫游也成为可能,因此应增加核心网之间的安全认证机制。特别是随着移动电子商务的广泛应用,更应尽量减少或避免网络内部人员的干预性。未来的安全中心应能独立于系统设备,具有开放的接口,能独立地完成双向鉴权、端到端数据加密等安全功能,甚至对网络内部人员也是透明的。
4.2 考虑采用公钥密码体制
在未来的3G网络中要求网络更具有可扩展性,安全特性更加具有可见性、可操作性的趋势下,采用公钥密码体制,参与交换的是公开密钥,因而增加了私钥的安全性,并能同时满足数字加密和数字签名的需要,满足电子商务所要求的身份鉴别和数据的机密性、完整性、不可否认性。因此,必须尽快建设无线公钥基础设施(WPKI),建设以认证中心(CA)为核心的安全认证体系。
4.3 考虑新密码技术的应用
随着密码学的发展以及移动终端处理能力的提高,新的密码技术,如量子密码技术、椭圆曲线密码技术、生物识别技术等已在移动通信系统中获得广泛应用,加密算法和认证算法自身的抗攻击能力更强健,从而保证传输信息的机密性、完整性、可用性、可控性和不可否认性。
4.4 使用多层次、多技术的安全保护机制
为了保证移动通信系统的安全,不能仅依靠网络的接入和核心网内部的安全,而应该使用多层次、多技术相结合的保护机制,即在应用层、网络层、传输层和物理层上进行全方位的数据保护,并结合多种安全协议,从而保证信息的安全。
今后相当长一段时期内,移动通信系统都会出现2G和3G两种网络共存的局面,移动通信系统的安全也面临着后向兼容的问题。因此,如何进一步完善移动通信系统的安全,提高安全机制的效率以及对安全机制进行有效的管理,都是今后亟需解决的问题。
❺ 3g网络的安全性由哪几部分保证
3G的网络安全性一般由三部分组成,分别是监控部分,识别部分和处理部分。
❻ 3G网络安全有哪些
第三代移动通信系统(3G)在2G的基础上进行了改进,继承了2G系统安全的优点,同时针对3G系统的新特性,定义了更加完善的安全特征与鉴权服务。未来的移动通信系统除了能够提供传统的语音、数据、多媒体业务外,还应当能支持电子商务、电子支付、股票交易、互联网业务等,个人智能终端将获得广泛使用,移动通信网络最终会演变成开放式的网络,能向用户提供开放式的应用程序接口,以满足用户的个性化需求。因此,网络的开放性以及无线传输的特性,使安全问题将成为整个移动通信系统的核心问题之一。
3G系统的面临的安全问题与以往的移动通信网络有本质的不同:3G上最重要的安全问题将是IP网络的安全和基于IP技术的应用的 安全。其中IP网不仅指承载网,更是指业务网;IP应用也不仅指因特网浏览、下载、邮件等应用,也包括承载在IP协议之上的移动通信系统控制信令和 数据。
安全威胁产生的原因来自于网络协议和系统的弱点,攻击者可以利用网络协议和系统的弱点非授权访问和处理敏感数据,或是干扰、滥用网络服务,对用户和网络资源造成损失。按照攻击的物理位置,对移动通信系统的安全威胁可以分为无线链路的威胁、对服务网络的威胁和对移动终端的威胁。主要威胁方式有以下几种:
(1)窃听,即在无线链路或服务网内窃听用户数据、信令数据及控制数据;
(2)伪装,即伪装成网络单元截取用户数据、信令数据及控制数据,伪终端欺骗网络获取服务;
(3)流量分析,即主动或被动流量分析以获取信息的时间、速率、长度、来源及目的地;
(4)破坏数据的完整性,即修改、插入、重放、删除用户数据或信令数据以破坏数据的完整性;
(5)拒绝服务,即在物理上或协议上干扰用户数据、信令数据及控制数据在无线链路上的正确传输,以实现拒绝服务攻击;
(6)否认,即用户否认业务费用、业务数据来源及发送或接收到的其他用户的数据,网络单元否认提供的网络服务;
(7)非授权访问服务,即用户滥用权限获取对非授权服务的访问,服务网滥用权限获取对非授权服务的访问;
(8)资源耗尽,即通过使网络服务过载耗尽网络资源,使合法用户无法访问。
(9) 随着网络规模的不断发展和网络新业务的应用,还会有新的攻击类型出现。
❼ 移动网络信号安全么
回答:
中国移动的无线网络信号是安全的,但网络上的网页就得看具体情况了。
具体预防措施:
确保你的3G/4G设备(不管是USB调制解调器、MiFi设备、卡或者智能手机)都有可用的更新来解决固件或软件的漏洞问题。
已安装并正确配置主机设备的防火墙。
安装并开启防病毒和反恶意软件。
访问设计财务数据或敏感个人信息的网站时使用强大的密码或多因素身份验证。
启用日志和警报。
对于连接的无线部分,使WPA2加密。
在移动热点设备,例如,MiFi或Sprint的Overdrive禁用SSID广播和禁用DHCP服务器。
当使用移动热点设备或移动热点功能(这允许多台计算机使用3G或4G连接)时,监控热点软件以确保只有已知的设备被连接。
如果设备允许你设置用户的最大量,而且如果你是唯一连接设备的人,将其设置为1。
更改您的3G/4G设备的默认管理密码。
如果您的3G/4G设备支持MAC过滤,启用该功能,并创建设备物理地址白名单,阻止其他设备。
❽ 3g无线路由器使用上安全吗
安全,把登录密码设置的繁琐一点会更安全。
❾ 第三代通信技术3G的移动电子商务安全方面是指哪些
伴随着internet的蓬勃发展,电子商务正以其高效、低成本的优势,逐步成为新兴的经营模式和理念,b2b、b2c等经营模式的不断优化和成熟更是推动了世界范围内电子商务的发展。人们己不再满足于信息浏览和发布,而是渴望着能够享受网络所带来的更多的便利。为了满足人们的需求,越来越多的网站投身到提供电子商务服务的行列中来,越来越多的企业开始将自己的业务通过internet的形式直接提供给客户,一个基于internet的全球电子商务框架正在形成。而移动电子商务不仅具备电子商务快速、灵活、方便等特点,更是以其随时随地接入互联网进行商务活动的随时性、可移动性,引发其作为信息时代宠儿的“高温”效应。但是,由于电子商务本身存在的安全问题以及移动设施引发的新的商务安全隐患,使得其安全问题成为“高温”下的炸弹,直接关系到移动电子商务模式的运行前景。
移动电子商务虽然诞生于电子商务,但是其通过移动终端上网的特性决定了它存在和普通电子商务不同的安全性。在探讨移动安全的特性时,我们首先要考虑的是移动终端本身的安全性。只有当移动电子商务赖以依存的移动终端安全了,才可能进一步谈其它的移动安全问题。如今用于上网的移动终端主要有手提电脑、手机、pda等等,保障这些设备本身的安全以及在使用这些设备时遵循安全操作规范进行操作是移动电子商务安全保障的一个前提。当设备安全的前提得以保证后,我们就需要保证移动电子商务在应用中的安全,通常我们需要保障以下的一些安全问题:
1、无线应用软件效能监控与系统效能管理;
2、审核和检测针对移动电子商务的存取是否合法或授权;
3、网页做到安全性认证的整合,以确保资料安全以及人员存取合法
与保密;
4、数字证书或加密管理,实现不可否认性与完整性;
5、wireless lan是否有入侵以及数据包中是否隐藏病毒;
6、wireless网络的效能以及预测失败或错误预警事件;
7、pda等设备在与电脑连接存取时的安全(包括wap、wireless等存取方式);
8、gateway主机以及所提供的服务加以监控;
9、实网络环境中加强防火墙、入侵侦测和弱点扫描,使企业交易内部的主机得到完全的保护。
这九点中在前面的论述己经提到了一些解决方法,针对移动的特性,可通过vpn来解决移动上网中的安全问题。vpn一一虚拟专用网就是在公用的internet网络上通过隧道协议建立起安全的私有网络。它可以满足以下三个安全的需要:
1、和你正在通信的人确实是那个你想要通信的人,你可能遇到的安全性问题是,在通信过程中,可能会碰到一个伪装者。
2、没有人能偷听你的通信内容,你的通信信息是保密的。
3、你接收到的通信信息在传输过程中没有被篡改。
这三点用信息的安全术语来说就是第一:认证,确认信息源;第二:信息保密性,传输的信息是加密的;第三:数据完整性,确认数据没有被篡改。只有当我们达到了这三点要求,才有可能保证移动电子商务在交易过程中的安全。
虚拟专用网主要基于以下技术:
1、ipsec,ietf (internet 工程师任务组)制定的ip安全标准;
2、通过认证机构(ca)发放数字证书和进行第二方认证,或使用“共享密钥认证”用于小规模的安全虚拟专用网;
3、隧道技术,允许公司内部专用ip地址穿越internet。通过这些技术,再集成上pki(公共密钥体系)就可以说是最完美最严密的vpn解决方案了,它通过密钥管理、安全交换以及隧道协议来实现上述的移动设备的通讯安全。
移动电子商务还有一个显着的特征就是一般通过无线上网来进行商务交易。目前所用的无线上网技术主要有:无线应用协议(wap)、移动ip技术、蓝牙技术、802.11b协议。无线应用协议是移动电子商务的核心技术之一,通过wap,手机用户就可以随时随地的接入互联网,真正做到不受时间和地域限制的移动电子商务。移动ip技术通过在网络层改变ip协议,从而实现notebook在网络中的无逢漫游,进行不间断的电子商务交易。蓝牙技术是一种取代线缆、实现数字空间的无线互联的一种技术,它可以很方便的和周围的网络设备进行连接,建立一个基于个人空间的无线网络。
802.11b协议是和蓝牙技术类似的一种技术,它实现的功能和蓝牙一样,但是其传输协议和传输距离都要强于蓝牙,它是基于企业的无线网络。这些无线协议本身的安全直接关系到移动电子商务的安全问题。假如我们使用的是802.11b技术进行移动上网,那么就等于将无线登陆入口公之于众,并“鼓励”所有拥有与之相匹配的网络适配卡的人登录,这时就需要使用wep(一种资料加密的处理方式)和虚拟专用网共同来保障其安全性。如果使用手机上网,那么我们就要注意数据传输过程中的加密问题,wap手机是无法进行端到端的加密,因此使用的是wap网关来保障数据的保密性。但是wap网关在使用过程中极易被黑客攻破,因此要真正实现安全,我们通常把无线传输层协议(wtls)和wap网关配套使用,并针对窄带通信信道进行优化,从而实现以下的功能:
1、数据完整性:确保终端和应用程序服务器之间传送数据的正确性。
2、私有性:确保在终端和应用程序服务器之间传送数据的私有性,任何中途试图截获数据流的设备均无法破译。
3、签权:可以在终端和应用程序服务器之间建立签权机制。
4、拒绝服务保护:可以检测和拒绝那些要求重传的数据或未成功检验的数据。w t l s使许多常见的拒绝服务攻击更难以实现,从而保护了上层协议。
这样我们就可以有效的实现人们在使用手机进行电子商务活动时的安全问题了。目前,由于蓝牙产品本身的安全性没有得到很好的解决,其安全机制很薄弱,因此在移动电子商务交易过程中我们建议暂时不使用蓝牙产品,待其本身的安全机制得以提高后,那么蓝牙技术在移动电在商务中的运用会逐步增多。
随着无线通讯技术的发展,移动电子商务也展示出更加亮丽的前景,它创造的是一种“无论何时何地”的新概念。赛博研究机构最近发布的一份题为《中国移动电子商务的现状及未来发展》专业研究报告称,基于无线互联网的移动电子商务(m-commerce)在国内拥有良好的市场前景,其发展将超过电子商务。在这如此热的领域里,我们还应该清醒的看到移动电子商务中存在的许多安全问题,详细分析其可能出现的情况并加以解决。只有当我们真正解决了移动电子商务中的安全隐患,排除了这枚炸弹,才可能吸引更多的人使用移动电子商务,才能带动移动电子商务的飞速发展。